Czy system znakowania wodnego Google został złamany?

Deweloper twierdzi, że udało mu się złamać system znakowania wodnego SynthID od Google DeepMind, pokazując jak można usuwać znaki wodne AI z generowanych obrazów lub ręcznie wstawiać je do innych prac. Jednak według Google, te twierdzenia nie są prawdziwe.

Deweloper o pseudonimie Aloshdenny opublikował swoją pracę na platformie GitHub i udokumentował proces, twierdząc, że wystarczyło mu 200 obrazów wygenerowanych przez Gemini, przetwarzanie sygnałów i "zdecydowanie za dużo wolnego czasu". Jak sam przyznał, pomogła mu również marihuana.

Metoda łamania systemu SynthID

"Żadnych sieci neuronowych. Żadnego zastrzeżonego dostępu" - napisał Aloshdenny na Medium. "Okazuje się, że jeśli jesteś bezrobotny i uśrednisz wystarczająco dużo 'czysto czarnych' obrazów generowanych przez AI, każdy piksel o wartości niezerowej to dosłownie znak wodny patrzący na ciebie z powrotem".

SynthID to niemal niewidoczny system znakowania wodnego, który oznacza treści generowane przez narzędzia AI Google, osadzając się w pikselach obrazów w momencie tworzenia. System został zaprojektowany tak, aby było trudno go usunąć bez pogorszenia jakości obrazu i jest szeroko stosowany w produktach AI oferowanych przez Google - wszystko co produkują modele jak Nano Banana i Veo 3 nosi znaki wodne SynthID, a system jest nawet stosowany do klonów twórców generowanych przez AI na YouTube.

Proces używany do złamania mechanizmów znaku wodnego Google jest technicznie złożony dla osób niebędących deweloperami. Uproszczone wyjaśnienie obejmuje:

1. Generowanie 200 całkowicie czarnych lub białych obrazów za pomocą Gemini
2. Zwiększenie kontrastu i nasycenia, a następnie usunięcie szumów z nasycenia w celu ujawnienia wzorców znaku wodnego
3. Uśrednienie wzorców w celu znalezienia wielkości i fazy sygnału znaku wodnego w każdym przedziale częstotliwości, na kanał
4. Wyszukiwanie śladów tych częstotliwości w obrazach i częściowe usuwanie ich pod tym samym kątem, pod jakim zostały wstawione podczas generowania

Ograniczenia odkrycia

Aloshdenny przyznaje, że jego metoda ma ograniczenia. "Fakt, że najlepsze, co udało mi się osiągnąć, to zmylenie dekodera na tyle, że rezygnuje - a nie faktyczne usunięcie rzeczy - mówi wiele o tym, jak dobrze został zaprojektowany" - stwierdza deweloper. "To nie jest idealne. Ale nie ma być nie do złamania. Ma podnieść koszty niewłaściwego użycia na tyle wysoko, że większość ludzi nie będzie się fatygować".